11月16-17号,在美丽的“蓉城”成都举办了“天府杯”2019 国际网络安全大赛暨高峰论坛。“天府杯”国际破解大赛是目前中国最顶级基础软件及设备破解比赛。该大赛以逐步打造属于中国自己的“Pwn2Own”为目标,将设置三个独立并行的比赛项目,原创漏洞演示复现赛、产品破解赛和系统破解赛,所有战队均需使用原创漏洞进行赛题破解,是中国网络安全技术的一场饕餮盛宴。
在本届”天府杯” 国际破解大赛中,支付宝光年实验室StackLeader队代表蚂蚁金服首次远程攻破Safari浏览器、Adobe PDF Reader、D-Link路由器。另外支付宝光年实验室另一只队伍CodeLeader队以远程攻破手机项目获得本届比赛原创复现赛最佳漏洞演示奖。
尤为引起全场关注的是支付宝光年实验室StackLeader队也是本届比赛中唯一一支攻破Safari浏览器的队伍。众所周知,苹果极其注重自身系统和应用软件安全,特别是针对 Safari 浏览器,时刻保持着处于最佳安全状态。攻破最新版本的苹果Safari浏览器存在诸多技术挑战,但依然被支付宝光年实验室攻破,且使用攻击方法之奇妙,得到了厂商的惊叹。
据悉,本次支付宝光年实验室这两只队伍由高级安全专家曲和带领,参赛队员包括了菜丝、鹜望、哦耶、栈长等行业优秀安全研究员,且这些研究员都是90后,最年轻的是96年的,都曾经多次在多项行业安全赛事上取得过优异成绩。
今年“天府杯”国际破解大赛上挑战队伍颇多,也代表着中国网络安全技术攻坚氛围越发浓厚。支付宝光年实验室成功在产品破解赛上挤入前三以及取得原创复现赛最佳漏洞演示奖,能够在这一中国网络安全攻防领域的奥林匹克赛场上崭露头角,也代表着蚂蚁金服具备了更强的安全技术保障能力以及更深入的基础安全攻防研究能力。
蚂蚁金服光年安全实验室组建于2016年底(原巴斯光年安全实验室),由多位资深安全专家组成的金融支付安全领域实验室,有着丰富的黑灰产抗击经验和行业内顶尖的攻防技术能力。除致力于护航蚂蚁金服相关产品安全,同时也通过前沿的安全技术的分享来赋能外部合作商户/厂商以及生态伙伴的安全,为用户日常网络信息安全保驾护航。目前核心安全能力领域包括移动端浏览器的漏洞挖掘与利用、移动操作系统漏洞攻防研究、移动端应用供应链体系的漏洞攻防研究、生物识别安全以及IoT安全等。实验室不断夯实基础研究能力,不断在国内外多个重量级安全舞台上先后多次发布了极具行业影响力的安全研究成果。同时也帮助包括Google、Apple、Samsung等多家手机硬件厂商以及知名互联网科技巨头及时发现并修复漏洞,保护着全球亿台设备的安全,避免数几十亿用户陷于风险之中。